Présentation d'Event Threat Detection

Qu'est-ce qu'Event Threat Detection ?

Event Threat Detection est un service intégré au niveau Premium de Security Command Center surveille en permanence votre organisation ou vos projets, et identifie les menaces dans vos systèmes en temps quasi réel. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.

Fonctionnement d'Event Threat Detection

Event Threat Detection surveille le flux Cloud Logging de votre organisation ou de vos projets. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection utilise les journaux de vos projets dès leur création et peut surveiller les journaux Google Workspace. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.

Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.

Lorsqu'Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Security Command Center peut écrire des résultats dans un projet Cloud Logging. À partir de Cloud Logging et de Google Workspace Logging, vous pouvez exporter les résultats à d'autres systèmes avec Pub/Sub et les traiter Fonctions Cloud Run.

Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez utiliser également Google Security Operations pour examiner quelques conclusions. Google SecOps est un service Google Cloud d'analyser les menaces et de passer d'une entité associée à une autre au sein d'une calendrier. Pour savoir comment envoyer les résultats à Google SecOps, consultez Examinez les résultats dans Google SecOps.

Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.

Règles d'Event Threat Detection

Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.

Event Threat Detection inclut les règles par défaut suivantes :

Nom à afficher Nom de l'API Types de sources de journal Description
Analyse active : Log4j vulnérable à RCE Indisponible Journaux Cloud DNS Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles.
Inhibit System Recovery (Empêcher la récupération du système) : hôte de sauvegarde et de reprise après sinistre Google Cloud supprimé BACKUP_HOSTS_DELETE_HOST Cloud Audit Logs :
Journaux d'accès aux données du service de sauvegarde et de reprise après sinistre 		Un hôte a été supprimé de la sauvegarde et de la reprise après sinistre. Les applications associées à l'hôte supprimé risquent de ne pas être protégées.
Destruction des données : image d'expiration de la sauvegarde et de la reprise après sinistre Google Cloud BACKUP_EXPIRE_IMAGE Cloud Audit Logs:
Journaux des accès aux données de sauvegarde et de reprise après sinistre 		Un utilisateur a demandé la suppression d'une image de back-up de la sauvegarde et de la reprise après sinistre. La la suppression d'une image de back-up n'empêche pas les sauvegardes futures.
Empêchez la récupération du système: plan de suppression de la sauvegarde et de la reprise après sinistre Google Cloud BACKUP_REMOVE_PLAN Cloud Audit Logs:
Journaux des accès aux données de sauvegarde et de reprise après sinistre 		Un plan de sauvegarde comportant plusieurs règles pour une application a été supprimé de Sauvegarde et reprise après sinistre La suppression d'un plan de sauvegarde peut empêcher les futures sauvegardes.
Destruction des données: la sauvegarde et la reprise après sinistre Google Cloud font expirer toutes les images BACKUP_EXPIRE_IMAGES_ALL Cloud Audit Logs:
Journaux des accès aux données de sauvegarde et de reprise après sinistre 		Un utilisateur a demandé la suppression de toutes les images de sauvegarde d'une application protégée à partir de la sauvegarde et de la reprise après sinistre. La suppression des images de sauvegarde n'empêche pas les futures sauvegardes.
Inhibit System Recovery (Empêcher la récupération du système) : modèle de suppression de Google Cloud Backup and DR BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud Audit Logs :
Journaux d'accès aux données de sauvegarde et de reprise après sinistre 		Un modèle de sauvegarde prédéfini, utilisé afin de configurer des sauvegardes pour plusieurs applications, a été supprimé. La possibilité de configurer des sauvegardes à l'avenir pourrait être affectée.
Inhibit System Recovery (Empêcher la récupération du système) : règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Cloud Audit Logs :
Journaux d'accès aux données de sauvegarde et de reprise après sinistre 		Une stratégie de sauvegarde et de reprise après sinistre, qui définit le mode et l'emplacement d'une sauvegarde stocké, a été supprimé. Les futures sauvegardes utilisant cette règle risquent d'échouer.
Inhibit System Recovery (Empêcher la récupération du système) : profil de suppression de la sauvegarde et de la reprise après sinistre Google Cloud BACKUP_PROFILES_DELETE_PROFILE Cloud Audit Logs :
Journaux d'accès aux données de sauvegarde et de reprise après sinistre 		Un profil de sauvegarde et de reprise après sinistre, qui définit les pools de stockage à utiliser pour et le stockage des sauvegardes, a été supprimé. Les futures sauvegardes qui utilisent ce profil risquent d'échouer.
Destruction des données : suppression de l'appareil de sauvegarde et de reprise après sinistre Google Cloud BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud Audit Logs :
Journaux d'accès aux données de sauvegarde et de reprise après sinistre 		Un appareil de sauvegarde a été supprimé de Backup and DR. Les applications associées à l'appareil de sauvegarde supprimé risquent de ne pas être protégées.
Empêcher la récupération du système: supprimer le pool de stockage des sauvegardes Google Cloud et de la reprise après sinistre BACKUP_STORAGE_POOLS_DELETE Cloud Audit Logs :
Journaux d'accès aux données de sauvegarde et de reprise après sinistre 		Un pool de stockage, qui associe un bucket Cloud Storage à la sauvegarde et à la reprise après sinistre a été supprimé de la sauvegarde et de la reprise après sinistre. Sauvegardes futures sur cette cible de stockage échouera.
Impact: Réduction du délai d'expiration des sauvegardes pour les sauvegardes Google Cloud et la reprise après sinistre BACKUP_REDUCE_BACKUP_EXPIRATION Cloud Audit Logs :
Journaux d'accès aux données de sauvegarde et de reprise après sinistre 		La date d'expiration d'une sauvegarde protégée par la sauvegarde et la reprise après sinistre a été réduite.
Par conséquent: les sauvegardes Google Cloud et la reprise après sinistre réduisent la fréquence des sauvegardes BACKUP_REDUCE_BACKUP_FREQUENCY Cloud Audit Logs:
Journaux des accès aux données de sauvegarde et de reprise après sinistre 		Le calendrier de sauvegarde et de reprise après sinistre a été modifié pour réduire la fréquence des sauvegardes.
Attaques par force brute SSH BRUTE_FORCE_SSH authlog Détection d'une attaque par force brute SSH réussie sur un hôte
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Journaux Cloud IDS

Événements de menaces détectés par Cloud IDS :

Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'un événement de menace est détecté, envoie un résultat de classe de menace à Security Command Center. Résultat les noms de catégorie commencent par "Cloud IDS" suivi de la menace Cloud IDS identifiant.

L'intégration de Cloud IDS à la détection des menaces d'événements n'inclut pas la détection des failles Cloud IDS.

Pour en savoir plus sur les détections Cloud IDS, consultez la section Informations sur la journalisation Cloud IDS.

Accès aux identifiants : membre externe ajouté au groupe privilégié EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ

Détecte les événements où un membre externe est ajouté à un groupe Google privilégié (un groupe disposant de rôles ou d'autorisations sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre ajouté. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour plus pour en savoir plus, consultez Rôles et autorisations IAM sensibles.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès aux identifiants : groupe privilégié ouvert au public PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace :
Audit des administrateurs
Autorisations :
DATA_READ

Détecte les événements où un groupe Google privilégié (un groupe doté de rôles sensibles ou autorisations) est modifié pour être accessible au grand public. Pour en savoir plus, consultez Modifications non sécurisées dans Google Groupes.

Les résultats sont classés dans les niveaux de gravité Élevée ou Moyenne. en fonction de la sensibilité des rôles associés au groupe change. Pour plus pour en savoir plus, consultez Rôles et autorisations IAM sensibles.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès aux identifiants : rôle sensible attribué au groupe hybride SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM

Détecte les événements où des rôles sensibles sont attribués à un groupe Google avec des autorisations membres. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés dans les niveaux de gravité Élevée ou Moyenne. en fonction de la sensibilité des rôles associés au groupe change. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Éviction de défense: déploiement de la charge de travail en mode "bris de glace" créé (preview) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit Logs :
Journaux des activités d'administration 		Détecte le déploiement de charges de travail déployées à l'aide de l'option "break-glass" afin de ignorer les contrôles de l'autorisation binaire.
Évasion de défense : déploiement de la charge de travail en mode "bris de glace" mis à jour (bêta) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit Logs:
Journaux des activités d'administration 		Détecte les mises à jour de charge de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.
Defense Evasion : Modifier VPC Service Controls DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud Audit Logs Journaux d'audit VPC Service Controls

Détecte toute modification apportée à un périmètre VPC Service Controls existant qui entraînerait une de réduction de la protection offerte par ce périmètre.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Découverte : vérification des objets Kubernetes sensibles GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs :
Journaux d'accès aux données GKE

Un acteur potentiellement malveillant a tenté de déterminer quels objets sensibles dans les ressources GKE qu'ils peuvent interroger kubectl auth can-i get . Plus précisément, la règle détecte si l'acteur a vérifié l'accès à l'API sur les objets suivants :

Découverte : Auto-enquête sur le compte de service SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs:
Journaux d'audit des accès aux données IAM
Autorisations:
DATA_READ

Détection des identifiants de compte de service IAM permettant d'examiner les rôles et les autorisations associés à ce même compte de service.

Rôles sensibles

Les résultats sont classés dans les niveaux de gravité Élevée ou Moyenne. en fonction du niveau de sensibilité des rôles attribués. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles.

Fuite : accès depuis le proxy d'anonymisation ANOMALOUS_ACCESS Cloud Audit Logs:
Journaux des activités d'administration 		Détection des modifications de service Google Cloud provenant de manière anonyme les adresses IP de proxy, comme les adresses IP de Tor.
Exfiltration : exfiltration de données BigQuery DATA_EXFILTRATION_BIG_QUERY Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations :
DATA_READ

Détecte les cas suivants :

  • Ressources appartenant à l'organisation protégée qui sont enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert.

    Ce scénario est indiqué par une sous-règle de exfil_to_external_table et une gravité de HIGH.

  • Tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls.

    Ce scénario est indiqué par une sous-règle de vpc_perimeter_violation. et la gravité LOW.

Exfiltration : extraction de données BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations :
DATA_READ

Détecte les cas suivants :

  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation.
  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée par le biais d'opérations d'extraction, vers un bucket Cloud Storage appartenant à cette organisation.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.
Exfiltration : données BigQuery vers Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud Audit Logs: Journaux d'accès aux données BigQueryAuditMetadata
Autorisations:
DATA_READ

Détecte les éléments suivants :

  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée par des opérations d'extraction, dans un dossier Google Drive.
Exfiltration : exfiltration de données Cloud SQL CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS 		Cloud Audit Logs : Journaux d'accès aux données MySQL
Journaux d'accès aux données PostgreSQL
Journaux d'accès aux données SQL Server

Détecte les cas suivants :

  • Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation.
  • Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.
Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit Logs: Journaux des activités d'administration MySQL
Journaux des activités d'administration PostgreSQL
Journaux des activités d'administration SQL Server

Détecte les événements où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance à l'extérieur de l'organisation.

Exfiltration : octroi de privilèges Cloud SQL trop élevés CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: Journaux des accès aux données PostgreSQL
Remarque: Vous devez activer pgAudit pour utiliser cette règle. 		Détecte les événements pour lesquels un utilisateur ou un rôle Cloud SQL pour PostgreSQL a été entièrement attribué des droits sur une base de données ou sur l'ensemble des tables, procédures ou fonctions d'un schéma.
Accès initial : le super-utilisateur de la base de données écrit dans les tables utilisateur CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Journaux d'accès aux données Cloud SQL pour PostgreSQL
Journaux des accès aux données Cloud SQL pour MySQL
Remarque: Vous devez activer pgAudit. extension pour PostgreSQL ou audit de bases de données pour MySQL afin d'utiliser cette règle. 		Détecte les événements où un super-utilisateur Cloud SQL (postgres pour les serveurs PostgreSQL ou root pour les utilisateurs MySQL) écrit dans des tables non système.
Élévation des privilèges: attribution de privilèges excessifs AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs : Journaux d'accès aux données AlloyDB pour PostgreSQL
Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle. 		Détecte les événements pour lesquels un utilisateur ou un rôle AlloyDB pour PostgreSQL a tous été attribués des droits sur une base de données ou sur l'ensemble des tables, procédures ou fonctions d'un schéma.
Élévation des privilèges : le super-utilisateur de la base de données AlloyDB écrit dans les tables utilisateur ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs : Journaux d'accès aux données AlloyDB pour PostgreSQL
Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle. 		Détecte les événements où un super-utilisateur AlloyDB pour PostgreSQL (postgres) écrit dans des tables non système.
Accès initial : action sur un compte de service inactif DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit Logs: Journaux des activités d'administration Détecte les événements où un nœud dormant compte de service géré par l'utilisateur déclenché une action. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Élévation des privilèges: rôle sensible attribué à un compte de service inactif DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs: Journaux d'audit des activités d'administration IAM

Détecte les événements où un nœud dormant compte de service géré par l'utilisateur s'est vu attribuer un ou plusieurs rôles IAM sensibles. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.

Rôles sensibles

Les résultats sont classés dans les niveaux de gravité Élevée ou Moyenne. en fonction du niveau de sensibilité des rôles attribués. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles.

Persistance : rôle d'impersonation attribué à un compte de service inactif DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM Détecte les événements où un compte principal est accordé l'autorisation d'emprunter l'identité un compte de service géré par des utilisateurs dormants. Dans ce contexte, un compte de service est considéré dormant s'il est inactif depuis plus de 180 jours.
Accès initial : clé de compte de service inactif créée DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit Logs: Journaux des activités d'administration Détecte les événements où une clé est créée pour un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme inactif s'il a été inactif pendant depuis plus de 180 jours.
Accès initial: clé de compte de service divulguée utilisée LEAKED_SA_KEY_USED Cloud Audit Logs : Journaux des activités d'administration
Journaux d'accès aux données 		Détecte les événements où une clé de compte de service divulguée est utilisée pour authentifier l'action. Dans dans ce contexte, une clé de compte de service divulguée est publiée à Internet.
Accès initial: autorisations excessives refusées EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs: Journaux des activités d'administration Détecte les événements où un compte principal déclenche à plusieurs reprises des erreurs d'autorisation refusée en exécutant la commande suivante : des modifications dans plusieurs méthodes et services.
Défenses diminuées : authentification forte - désactivé ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit de la console d'administration

La validation en deux étapes a été désactivée pour l'organisation.

Cette information n'est pas disponible pour les activations au niveau du projet.
Défenses diminuées : Vérification en deux étapes - désactivé 2SV_DISABLE Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Un utilisateur a désactivé la validation en deux étapes.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : piratage - compte désactivé ACCOUNT_DISABLED_HIJACKED Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ

Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte.

Cette information n'est pas disponible pour les activations au niveau du projet.
Accès initial : fuite de mot de passe - désactivé ACCOUNT_DISABLED_PASSWORD_LEAK Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement GOV_ATTACK_WARNING Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : tentative de compromis Log4j Indisponible Journaux Cloud Load Balancing:
équilibreur de charge HTTP Google Cloud
Remarque: Vous devez activer la journalisation de l'équilibreur de charge d'application externe pour utiliser cette règle.

Détecte les noms et l'interface de répertoire Java (JNDI) lookups dans en-têtes ou paramètres d'URL. Ces recherches peuvent indiquer des tentatives de passage à Log4Shell contre l'exploitation. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage.

Cette règle est toujours activée.
Accès initial : connexion suspecte - bloqué SUSPICIOUS_LOGIN Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée.

Cette information n'est pas disponible pour les activations au niveau du projet.
Logiciel malveillant Log4j : domaine incorrect LOG4J_BAD_DOMAIN Journaux Cloud DNS Détection des exploitations de trafic Log4j à partir d'une connexion à un réseau connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte LOG4J_BAD_IP Journaux de flux VPC
Journaux des règles de pare-feu
Journaux Cloud NAT		 Détection des exploitations de trafic Log4j en fonction d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine incorrect MALWARE_BAD_DOMAIN Journaux Cloud DNS Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu
Logiciel malveillant : adresse IP incorrecte MALWARE_BAD_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT 		Détection des logiciels malveillants basée sur une connexion à une mauvaise adresse IP connue.
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie CRYPTOMINING_POOL_DOMAIN Journaux Cloud DNS Détection du minage de cryptomonnaie à partir d’une connexion ou d’une recherche sur une mine connue domaine.
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie CRYPTOMINING_POOL_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT 		Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue
DoS sortant OUTGOING_DOS Journaux de flux VPC Détection du trafic de déni de service sortant
Persistance: clé SSH ajoutée par l'administrateur GCE GCE_ADMIN_ADD_SSH_KEY Cloud Audit Logs (Journaux d'audit Cloud) :
Journaux d'audit Compute Engine 		Détection d'une modification de la valeur de clé SSH des métadonnées d'instance Compute Engine sur Une instance établie (de plus d'une semaine)
Persistance : ajout d'un script de démarrage par l'administrateur GCE GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit Logs:
Journaux d'audit Compute Engine 		Détection d'une modification apportée au script de démarrage des métadonnées de l'instance Compute Engine sur une instance établie (de plus d'une semaine).
Persistance : Octroi anormal d'autorisations IAM IAM_ANOMALOUS_GRANT Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM

Cette observation comprend des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de cette observation.

La liste suivante répertorie toutes les sous-règles possibles:

  • external_service_account_added_to_policy, external_member_added_to_policy : détection des droits accordés aux utilisateurs IAM et aux comptes de service qui ne sont pas membres de votre organisation ou, si Security Command Center est activé au niveau du projet uniquement, de votre projet.

    Remarque: Si Security Command Center est activé au niveau de l'organisation il utilise la stratégie IAM existante d'une organisation des stratégies comme contexte. Si l'activation de Security Command Center n'est effectuée qu'au niveau du projet, le détecteur n'utilise que les stratégies IAM du projet comme contexte.

    Si une attribution IAM sensible à un membre externe est accordée et qu'une il existe moins de trois stratégies IAM similaires, ce détecteur génère un résultat.

    Rôles sensibles

    Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour plus d'informations, voir Rôles et autorisations IAM sensibles.

  • external_member_invited_to_policy : détecte quand un membre externe est invité en tant que propriétaire du projet via l'API InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: détecte lorsque le paramètre L'autorisation setIAMPolicy est ajoutée à un rôle personnalisé.
  • service_account_granted_sensitive_role_to_member: détecte quand des rôles avec accès privilégié sont accordés aux membres via un compte de service. Cette sous-règle est déclenchée par un sous-ensemble de rôles sensibles qui n'incluent que des rôles IAM de base et certains rôles de stockage de données. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
  • policy_modified_by_default_compute_service_account: détecte les le compte de service Compute Engine par défaut est utilisé pour modifier le projet Paramètres IAM.
Persistance: rôle sensible attribué à un compte non géré (version preview) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détection d'un rôle sensible attribué à un compte non géré.
Persistance : Nouvelle méthode d'API
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit Logs:
Journaux des activités d'administration 		Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM
Persistance : Nouvelle géographie IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs:
Journaux des activités d'administration

Détection des comptes utilisateur de service et utilisateur IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes.

Cette information n'est pas disponible pour les activations au niveau du projet.

Persistance : Nouvel agent utilisateur IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit Logs:
Journaux des activités d'administration

Détection des comptes de service IAM qui accèdent à Google Cloud depuis user-agents anormaux ou suspects.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : activer/désactiver l'authentification unique TOGGLE_SSO_ENABLED Google Workspace :
Audit d'administration

Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : paramètres SSO modifiés CHANGE_SSO_SETTINGS Google Workspace:
Audit de la console d'administration

Les paramètres SSO du compte administrateur ont été modifiés.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: usurpation d'identité anormale de compte de service pour les activités d'administration ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit Logs :
Journaux des activités d'administration 		Détecte quand un compte de service usurpé potentiellement anormal est utilisé pour une activité administrative.
Escalade des droits : délégation de compte de service multi-étapes anormale pour les activités d'administration ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit Logs:
Journaux des activités d'administration 		Détecter les cas de figure en plusieurs étapes anormaux demande déléguée pour une activité d'administration.
Élévation des privilèges: délégation anormale de compte de service à plusieurs étapes pour l'accès aux données ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit Logs:
Journaux des accès aux données 		Détecte une requête déléguée anormale en plusieurs étapes pour une activité d'accès aux données.
Élévation des privilèges: usurpation d'identité de compte de service anormal pour les activités d'administration ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit Logs :
Journaux des activités d'administration 		Détecte lorsqu'un appelant/imposteur potentiellement anormal dans une chaîne de délégation est utilisé pour une activité administrative.
Élévation des privilèges: usurpation d'identité de compte de service anormal pour l'accès aux données ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit Logs :
Journaux d'accès aux données 		Détecter les cas de figure appelant/emprunteur d'identité de délégation est utilisée pour une activité d'accès aux données.
Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs :
Journaux des activités d'administration GKE 		Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible cluster-admin à l'aide d'une requête PUT ou PATCH.
Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
Journaux des activités d'administration GKE 		Un individu potentiellement malveillant a créé un maître Kubernetes demande de signature de certificat (CSR), ce qui leur donne cluster-admin y accéder.
Élévation des privilèges : création de liaisons Kubernetes sensibles GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Pour élever ses privilèges, un individu potentiellement malveillant a tenté de créer un nouveau l'objet RoleBinding ou ClusterRoleBinding pour cluster-admin rôle de ressource.
Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs :
Journaux d'accès aux données GKE 		Un individu potentiellement malveillant a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
Journaux des activités d'administration GKE

Un individu potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.

Le champ privileged d'un conteneur privilégié est défini sur true. Le champ allowPrivilegeEscalation d'un conteneur doté de fonctionnalités d'élévation des privilèges est défini sur true. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.

Persistance: clé de compte de service créée SERVICE_ACCOUNT_KEY_CREATION Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte la création d'une clé de compte de service. Les clés de compte de service sont des identifiants de longue durée qui augmentent le risque d'accès non autorisé aux ressources Google Cloud.
Élévation des privilèges: ajout d'un script d'arrêt global GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte les cas où un script d'arrêt global est ajouté à un projet.
Persistance : script de démarrage global ajouté GLOBAL_STARTUP_SCRIPT_ADDED Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte les cas où un script de démarrage global est ajouté à un projet.
Défense contre l'évasion : rôle de créateur de jetons de compte de service au niveau de l'organisation ajouté ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte les Rôle IAM de créateur de jetons du compte de service est accordé au niveau de l'organisation.
Défense contre l'évasion : rôle de créateur de jetons de compte de service au niveau du projet ajouté PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte les Rôle IAM de créateur de jetons du compte de service est accordée au niveau du projet.
Mouvement latéral : exécution du correctif d'OS depuis le compte de service OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud Audit Logging
Journaux d'audit pour les activités d'administration IAM 		Détecte les cas où un compte de service utilise fonctionnalité d'application de correctifs de Compute Engine pour mettre à jour le système d'exploitation de toute instance Compute Engine en cours d'exécution.
Déplacement latéral: disque de démarrage modifié associé à l'instance (aperçu) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud Audit Logs (Journaux d'audit Cloud) :
Journaux d'audit Compute Engine 		Détecte quand un disque de démarrage est dissocié d'une instance Compute Engine et associé à un autre, ce qui pourrait indiquer une tentative malveillante de compromettre le système à l'aide d'un ou un disque de démarrage modifié.
Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit Logs :
Journaux d'accès aux données GKE 		Détecte l'accès à des secrets ou des jetons de compte de service par un compte de service dans l'espace de noms Kubernetes actuel.
Développement de ressources: activité de distribution Offensive Security OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte les manipulations réussies de ressources Google Cloud à partir de tests d'intrusion connus ou de distributions de sécurité offensives.
Escalade des droits : le nouveau compte de service est propriétaire ou éditeur SERVICE_ACCOUNT_EDITOR_OWNER Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte la création d'un compte de service avec les rôles Éditeur ou Propriétaire pour un projet.
Découverte : Outil de collecte d'informations utilisé INFORMATION_GATHERING_TOOL_USED Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte l'utilisation de ScoutSuite, un outil d'audit de la sécurité du cloud connu pour être utilisé par les acteurs malveillants.
Élévation des privilèges : génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte les cas où l'autorisation iam.serviceAccounts.implicitDelegation est utilisés de manière abusive pour générer des jetons d'accès à partir d'un compte de service plus privilégié.
Élévation des privilèges: génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte les cas où un compte de service utilise serviceAccounts.signJwt pour générer un jeton d'accès pour un autre compte de service.
Élévation des privilèges: génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM

Détecte l'utilisation entre plusieurs projets de l'autorisation IAM iam.serviceAccounts.getOpenIdToken.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM

Détecte l'utilisation entre plusieurs projets de l'autorisation IAM iam.serviceAccounts.getAccessToken.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: utilisation d'autorisations multiprojets suspectes SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM

Détecte l'utilisation de datafusion.instances.create entre plusieurs projets une autorisation IAM.

Ce résultat n'est pas disponible pour les activations au niveau du projet.
Commande et contrôle: tunnelisation DNS DNS_TUNNELING_IODINE_HANDSHAKE Journaux Cloud DNS Détecte le handshake de l'outil de tunnelisation DNS Iodine.
Éviction de défense: tentative de masquage de la route VPC VPC_ROUTE_MASQUERADE Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte la création manuelle de routes VPC se faisant passer pour des routes par défaut Google Cloud, ce qui permet de diriger le trafic de sortie vers des adresses IP externes.
Impact : Facturation désactivée BILLING_DISABLED_SINGLE_PROJECT Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte les cas où la facturation a été désactivée pour un projet.
Impact : Facturation désactivée BILLING_DISABLED_MULTIPLE_PROJECTS Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte quand la facturation a été désactivée pour plusieurs projets d'une organisation dans un court laps de temps.
Impact : Blocage à priorité élevée du pare-feu VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte les cas où une règle de pare-feu VPC bloque tous le trafic est ajouté à la priorité 0.
Impact: règle de masse du pare-feu VPC SuppressionTemporairement indisponible VPC_FIREWALL_MASS_RULE_DELETION Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM

Détecte la suppression groupée des règles de pare-feu VPC par des comptes autres que des comptes de service.

Cette règle est temporairement indisponible. Pour surveiller les mises à jour de vos règles de pare-feu, utilisez les journaux d'audit Cloud.

Impact: API de service désactivée SERVICE_API_DISABLED Cloud Audit Logs:
Journaux d'audit des activités d'administration IAM 		Détecte quand une API de service Google Cloud est désactivée dans un environnement de production.
Impact : autoscaling du groupe d'instances géré défini sur "Maximum" MIG_AUTOSCALING_SET_TO_MAX Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte les cas où un groupe d'instances géré est configuré pour un autoscaling maximal.
Découverte : Appel d'API de compte de service non autorisé UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud Audit Logs :
Journaux d'audit pour les activités d'administration IAM 		Détecte lorsqu'un compte de service effectue un appel d'API multiprojet non autorisé.
Contournement des défenses: accès administrateur au cluster accordé à des sessions anonymes ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit Logs:
Journaux des activités d'administration GKE 		Détecte la création d'un objet ClusterRoleBinding de contrôle des accès basé sur les rôles (RBAC) qui ajoute le comportement root-cluster-admin-binding aux utilisateurs anonymes.
Accès initial: ressource GKE anonyme créée à partir d'Internet (version preview) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Journaux des activités d'administration GKE 		Détecte les événements de création de ressources provenant d'utilisateurs Internet anonymes.
Accès initial: ressource GKE modifiée anonymement à partir d'Internet (preview) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Journaux des activités d'administration GKE 		Détecte les événements de manipulation de ressources provenant d'utilisateurs Internet anonymes.
Élévation des privilèges: accès aux clusters GKE accordé à des utilisateurs réellement anonymes (Preview) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud Audit Logs :
Journaux des activités d'administration GKE

Quelqu'un a créé une liaison RBAC qui fait référence à l'un des utilisateurs ou groupes suivants:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Ces utilisateurs et groupes sont en fait anonymes et doivent être évités lors de la création de liaisons de rôle ou de liaisons de rôle de cluster pour des rôles RBAC. Vérifiez la liaison pour vous assurer qu'elle est nécessaire. Si la liaison n'est pas nécessaire, supprimez-la.

Exécution : exécution suspecte d'un pod système ou association suspecte à un pod système (bêta) GKE_SUSPICIOUS_EXEC_ATTACH Cloud Audit Logs:
Journaux des activités d'administration GKE 		Quelqu'un a utilisé les commandes exec ou attach pour obtenir un shell ou exécuter une commande sur un conteneur exécuté dans l'espace de noms kube-system. Ces méthodes sont parfois utilisées à des fins de débogage légitimes. Toutefois, L'espace de noms kube-system est destiné aux objets système créés par Kubernetes, et l'exécution de commandes ou la création du shell inattendues doivent être examinées.
Élévation des privilèges : charge de travail créée avec une installation de chemin d'hôte sensible (Preview) GKE_SENSITIVE_HOSTPATH Cloud Audit Logs :
Journaux des activités d'administration GKE 		Quelqu'un a créé une charge de travail qui contient un montage de volume hostPath sur un chemin sensible dans le système de fichiers du nœud hôte. L'accès à ces chemins d'accès sur le système de fichiers de l'hôte peut être utilisé pour accéder à des informations privilégiées ou sensibles sur le nœud et pour échapper aux conteneurs. Si possible, n'autorisez aucun volume hostPath dans votre cluster.
Élévation des privilèges : charge de travail avec shareProcessNamespace activé (Preview) GKE_SHAREPROCESSNAMESPACE_POD Cloud Audit Logs :
Journaux des activités d'administration GKE 		Quelqu'un a déployé une charge de travail avec l'option shareProcessNamespace définie sur true, ce qui permet à tous les conteneurs de partager le même espace de noms de processus Linux. Cela pourrait permettre à un conteneur non approuvé ou compromis d'élever les privilèges en accédant et en contrôlant les variables d'environnement, la mémoire et d'autres données sensibles à partir de processus exécutés dans d'autres conteneurs.
Élévation des privilèges: ClusterRole avec verbes privilégiés (Preview) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud Audit Logs :
Journaux des activités d'administration GKE 		Quelqu'un a créé un ClusterRole RBAC contenant les verbes bind, escalate ou impersonate. Un sujet lié à un rôle avec ces verbes peut usurper l'identité d'autres utilisateurs disposant de droits plus élevés, se lier à des Roles ou ClusterRoles supplémentaires contenant des autorisations supplémentaires, ou modifier ses propres autorisations ClusterRole. Cela peut entraîner l'octroi de droits d'administrateur de cluster à ces sujets.
Élévation des privilèges: ClusterRoleBinding en rôle privilégié (Preview) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud Audit Logs :
Journaux des activités d'administration GKE 		Quelqu'un a créé un ClusterRoleBinding RBAC qui fait référence à l'ClusterRole system:controller:clusterrole-aggregation-controller par défaut. Ce ClusterRole par défaut dispose des Verbe escalate, qui permet aux sujets de modifier leurs propres privilèges ce qui permet l'élévation des privilèges.
Éviction de défense: demande de signature de certificat (CSR) supprimée manuellement (Preview) GKE_MANUALLY_DELETED_CSR Cloud Audit Logs:
Journaux des activités d'administration GKE 		Quelqu'un a supprimé manuellement une demande de signature de certificat (CSR). Les CSR sont automatiquement par un contrôleur de récupération de mémoire, mais des acteurs malveillants peuvent supprimer manuellement pour contourner la détection. Si la requête de signature de certificat supprimée concernait un certificat approuvé et émis, l'acteur potentiellement malveillant dispose désormais d'une méthode d'authentification supplémentaire pour accéder au cluster. Les autorisations associées au certificat varient en fonction de mais il peut être très privilégié. Kubernetes n'est pas compatible avec la révocation du certificat.
Accès aux identifiants: échec de la tentative d'approbation de la demande de signature de certificat Kubernetes (CSR) (aperçu) GKE_APPROVE_CSR_FORBIDDEN Cloud Audit Logs :
Journaux des activités d'administration GKE 		Quelqu'un a tenté d'approuver manuellement une demande de signature de certificat (CSR), mais l'action a échoué. La création d'un certificat pour l'authentification de cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associés au certificat varient en fonction de l’objet qu’ils ont inclus, mais peuvent être hautement privilégié.
Accès aux identifiants : requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview) GKE_CSR_APPROVED Cloud Audit Logs:
Journaux des activités d'administration GKE 		Une personne a approuvé manuellement une requête de signature de certificat (CSR). La création d'un certificat pour l'authentification de cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées.
Exécution: pod Kubernetes créé avec des arguments inversés potentiels (Preview) GKE_REVERSE_SHELL_POD Cloud Audit Logs :
Journaux des activités d'administration GKE 		Quelqu'un a créé un pod contenant des commandes ou des arguments couramment associés à un interface système inversée. Les pirates informatiques utilisent des shells inversés pour étendre ou maintenir leur accès initial à un cluster et pour exécuter des commandes arbitraires.
Éviction de défense: masquage potentiel des pods Kubernetes (Preview) GKE_POD_MASQUERADING Cloud Audit Logs:
Journaux des activités d'administration GKE 		Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable aux charges de travail par défaut que GKE crée pour les opérations de cluster standards. Cette technique est appelée masquage.
Élévation des privilèges : Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview) GKE_SUSPICIOUS_EXPLOIT_POD Cloud Audit Logs :
Journaux des activités d'administration GKE 		Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable à celle des outils courants utilisés pour les échappements de conteneur ou pour exécuter d'autres attaques sur le cluster.
Impact : Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie (Preview) GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud Audit Logs:
Journaux des activités d'administration GKE 		Quelqu'un a déployé un pod dont la convention d'attribution de noms est semblable à celle des pièces de cryptomonnaie courantes des mineurs. Il peut s’agir d’une tentative de la part d’un attaquant qui a obtenu un accès initial pour utiliser ses ressources à des fins de minage de cryptomonnaie.

Modules personnalisés pour Event Threat Detection

En plus des règles de détection intégrées, Event Threat Detection fournit des modèles de modules que vous pouvez utiliser pour créer des règles de détection personnalisées. Pour plus consultez la page Présentation des modules personnalisés pour Event Threat Detection.

Pour créer des règles de détection pour lesquelles aucun modèle de module personnalisé n'est disponible, vous pouvez exporter vos données de journaux vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menaces.

Modifications non sécurisées apportées aux groupes Google

Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM. La détection des modifications apportées à Google Groupes n'est possible que lorsque vous activez Security Command Center au niveau de l'organisation.

Les clients Google Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.

Bien que Google Groupes soit un moyen pratique de gérer le contrôle des accès à grande échelle, peut présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine aux groupes privilégiés, c'est-à-dire les groupes auxquels des rôles ou des autorisations sensibles. Contrôle des rôles sensibles l'accès aux paramètres réseau et de sécurité, aux journaux, ainsi qu'aux données et ne sont pas recommandés pour les membres externes du groupe.

Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Cloud Audit Logs enregistre les attributions de rôles aux groupes, mais ces événements de journal ne contiennent pas d'informations sur les membres du groupe, ce qui peut obscurcir l’impact potentiel de certains changements de groupe.

Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journaux membres ajoutés aux groupes Google de votre organisation. Étant donné que les journaux sont au niveau de l'organisation, Event Threat Detection ne peut analyser les journaux Google Workspace que lorsque vous activez Security Command Center au niveau de l'organisation. Event Threat Detection ne peut pas analyser ces journaux lorsque vous activez Security Command Center à au niveau du projet.

Event Threat Detection identifie les membres externes des groupes et, à l'aide de Cloud Audit Logs, examine les rôles IAM de chaque groupe concerné pour vérifier se voient attribuer des rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :

  • Membres de groupe externes ajoutés aux groupes privilégiés
  • Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
  • Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder

Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.

Rôles et autorisations IAM sensibles

Cette section explique comment Event Threat Detection définit les données IAM. Les détections telles que les autorisations anormales IAM et les modifications non sécurisées apportées aux groupes Google ne génèrent des résultats que si elles impliquent des rôles à sensibilité élevée ou moyenne. La sensibilité des rôles a une incidence sur le niveau de gravité affectées aux résultats.

  • Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
  • Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud, et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
    • Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
    • Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.

L'attribution de ces rôles sensibles est considérée comme dangereuse si le bénéficiaire est Membre externe ou identité anormale, comme un compte principal qui a été pendant une longue période.

L'attribution de rôles sensibles à des membres externes représente une menace potentielle, car ils peuvent être utilisés de manière abusive pour compromettre un compte et exfiltration de données.

Les catégories de résultats qui utilisent ces rôles sensibles incluent les suivantes:

  • Persistance : octroi anormal d'autorisations IAM
    • Sous-règle: external_service_account_added_to_policy
    • Sous-règle: external_member_added_to_policy
  • Accès aux identifiants : rôle sensible attribué au groupe hybride
  • Élévation des privilèges: rôle sensible attribué à un compte de service inactif

Les catégories de résultats qui utilisent un sous-ensemble de rôles sensibles incluent les suivantes:

  • Persistance: autorisation anormale d'autorisations IAM
    • Sous-règle : service_account_granted_sensitive_role_to_member

La sous-règle service_account_granted_sensitive_role_to_member cible à la fois externes et internes en général et n'utilise donc qu'un sous-ensemble les rôles sensibles, comme expliqué dans la section Règles Event Threat Detection.

Catégorie Rôle Description
Rôles de base : incluent des milliers d'autorisations pour tous les services Google Cloud. roles/owner Rôles de base
roles/editor
Rôles de sécurité: contrôlez l'accès aux paramètres de sécurité. roles/cloudkms.* Tous les rôles Cloud Key Management Service
roles/cloudsecurityscanner.* Tous les rôles Web Security Scanner
roles/dlp.* Tous les rôles Sensitive Data Protection
roles/iam.* Tous les Rôles IAM
roles/secretmanager.* Tous les rôles Secret Manager
roles/securitycenter.* Tous les rôles Security Command Center
Rôles Logging: contrôlez l'accès aux journaux d'une organisation. roles/errorreporting.* Tous les rôles Error Reporting
roles/logging.* Tous les rôles Cloud Logging
roles/stackdriver.* Tous les rôles Cloud Monitoring
Rôles d'informations personnelles : contrôlent l'accès aux ressources contenant des informations permettant d'identifier personnellement l'utilisateur, y compris des coordonnées bancaires et des coordonnées. roles/billing.* Tout Rôles Cloud Billing
roles/healthcare.* Tous les rôles de l'API Cloud Healthcare
roles/essentialcontacts.* Tous les rôles Essential Contacts
Rôles réseau: contrôlez l'accès au réseau d'une organisation. paramètres roles/dns.* Tous les rôles Cloud DNS
roles/domains.* Tout Rôles Cloud Domains
roles/networkconnectivity.* Tous les rôles Network Connectivity Center
roles/networkmanagement.* Tous les rôles Network Connectivity Center
roles/privateca.* Tout Rôles Certificate Authority Service
Rôles de service : contrôlent l'accès aux ressources de service dans Google Cloud. roles/cloudasset.* Tous les rôles de l'inventaire des éléments cloud
roles/servicedirectory.* Tout Rôles associés à l'Annuaire des services
roles/servicemanagement.* Tout Rôles Service Management
roles/servicenetworking.* Tous les rôles Service Networking
roles/serviceusage.* Tout Rôles Service Usage
Rôles Compute Engine: contrôlez l'accès aux machines virtuelles Compute Engine. qui exécutent des tâches de longue durée et qui sont associées à des règles de pare-feu règles

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Tous les administrateurs Compute Engine et d'éditeur
Catégorie Rôle Description
Rôles de modification : rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud.

Exemples :

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Les noms de rôles se terminent généralement par des titres tels que Administrateur, Propriétaire, Éditeur ou Rédacteur.

Développez le nœud dans la dernière ligne du tableau pour afficher Tous les rôles à sensibilité moyenne

Rôles IAM associés au stockage de données: rôles IAM qui incluent autorisations d'affichage et d'exécution des services de stockage de données

Exemples :

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Tous les rôles à sensibilité moyenne

Access Approval

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Actions

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Autorisation binaire

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBêta

Fonctions Cloud Run

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Analyse des artefacts

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Service géré pour Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore pour Redis

  • roles/redis.admin
  • roles/redis.editor

API On-Demand Scanning

  • roles/ondemandscanning.admin

Surveillance de la configuration des opérations

  • roles/opsconfigmonitoring.resourceMetadata.writer

Service de règles d'administration

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Autres rôles

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Proximity Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Recommandations

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Outil de recommandation

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Paramètres de ressources

  • roles/resourcesettings.admin

Accès au VPC sans serveur

  • roles/vpcaccess.admin

Service Consumer Management

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Service de transfert de stockage

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Notebooks Vertex AI Workbench gérés par l'utilisateur

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Types de journaux et conditions d'activation

Cette section liste les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'il recherche dans chaque journal et les actions à effectuer pour activer chaque journal, le cas échéant.

Vous devez activer une journalisation pour Event Threat Detection uniquement si toutes les sont vrais:

  • Vous utilisez le produit ou le service qui écrit dans le journal.
  • Vous devez protéger le produit ou le service contre les menaces détectées par la détection des menaces d'événements dans le journal.
  • Il s'agit d'un journal d'audit des accès aux données ou d'un autre journal désactivé par défaut.

Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'activer un autre journal pour détecter cette même menace.

Si un journal n'apparaît pas dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez la section Analyses de journaux potentiellement redondantes.

Comme indiqué dans le tableau suivant, certains types de journaux ne sont disponibles qu'au niveau de l'organisation. Si vous activez Security Command Center au niveau au niveau du projet, Event Threat Detection n'analyse pas ces journaux des résultats.

Analyses de journaux potentiellement redondantes

Event Threat Detection peut détecter les logiciels malveillants sur le réseau des journaux suivants:

  • Journalisation Cloud DNS
  • Journalisation Cloud NAT
  • Journalisation des règles de pare-feu
  • Journaux de flux VPC

Si vous utilisez déjà la journalisation Cloud DNS, Event Threat Detection peut détecter les logiciels malveillants à l'aide de la résolution de domaine. Pour la plupart des utilisateurs, les journaux Cloud DNS suffisent à détecter les logiciels malveillants sur le réseau.

Si vous avez besoin d'un autre niveau de visibilité au-delà de la résolution de domaine, vous pouvez activer les journaux de flux VPC. Toutefois, ils peuvent entraîner des coûts. Pour gérer ces coûts, nous vous recommandons d'augmenter l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage entre 5 % et 10 %. Toutefois, il existe un compromis entre le rappel (échantillonnage plus élevé) et la gestion des coûts (taux d'échantillonnage plus faible).

Si vous utilisez déjà la journalisation des règles de pare-feu ou la journalisation Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.

Vous n'avez pas besoin d'activer plusieurs options de journalisation : Cloud NAT, règles de pare-feu ou journaux de flux VPC.

Journaux à activer

Cette section liste les journaux Cloud Logging et Google Workspace que vous peuvent être activées ou configurées pour augmenter le nombre de menaces et Event Threat Detection peut détecter.

Certaines menaces, telles que celles liées à l'usurpation d'identité ou à la délégation anormale d'un compte de service, peuvent être détectées dans la plupart des journaux d'audit. Pour ces de menaces, vous déterminez les journaux à activer en fonction les produits et services que vous utilisez.

Le tableau suivant présente les journaux spécifiques à activer pour les menaces susceptibles être détecté que dans certains types de journaux spécifiques.

Type de journal Menaces détectées Configuration obligatoire
Journalisation Cloud DNS

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

 Activer la journalisation Cloud DNS
Journalisation Cloud NAT

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Activer la journalisation Cloud NAT
Journalisation des règles de pare-feu

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Activez la journalisation des règles de pare-feu.
Journaux d'audit de l'accès aux données Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Activer les journaux d'audit des accès aux données Logging pour GKE
Journals d'audit des administrateurs Google Workspace

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Partager les journaux d'audit de la console d'administration Google Workspace avec Cloud Logging

Ce type de journal ne peut pas être analysé dans les activations au niveau du projet.
Journaux d'audit des connexions Google Workspace

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

partager les journaux d'audit de connexion Google Workspace avec Cloud Logging ;

Impossible d'analyser ce type de journal dans les activations au niveau du projet.
Journaux du service de backend de l'équilibreur de charge d'application externe Initial Access: Log4j Compromise Attempt Activer la journalisation de l'équilibreur de charge d'application externe
Journaux d'audit d'accès aux données MySQL Cloud SQL Exfiltration: Cloud SQL Data Exfiltration Activer les journaux d'audit des accès aux données Logging pour Cloud SQL pour MySQL
Journaux d'audit pour l'accès aux données PostgreSQL dans Cloud SQL

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant
Journaux d'audit des accès aux données AlloyDB pour PostgreSQL

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant
Journaux d'audit pour l'accès aux données IAM Discovery: Service Account Self-Investigation Activer les journaux d'audit des accès aux données Logging pour Resource Manager
Journaux d'audit pour l'accès aux données SQL Server Exfiltration: Cloud SQL Data Exfiltration Activer les journaux d'audit des accès aux données Logging pour Cloud SQL pour SQL Server
Journaux d'audit génériques pour l'accès aux données

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Activez les journaux d'audit des accès aux données Logging.
authlogs/authlog sur des machines virtuelles Brute force SSH Installer l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM
Journaux de flux VPC

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Outgoing DoS

 Activer les journaux de flux VPC
Journalisation d'audit de la sauvegarde et de la reprise après sinistre

Data destruction: Google Cloud Backup and DR expire all images

Inhibit system recovery: Google Cloud Backup and DR delete policy

Inhibit system recovery: Google Cloud Backup and DR delete template

Inhibit system recovery: Google Cloud Backup and DR delete profile

Inhibit system recovery: Google Cloud Backup and DR delete storage pool

Inhibit system recovery: deleted Google Cloud Backup and DR host

Data destruction: Google Cloud Backup and DR expire image

Data destruction: Google Cloud Backup and DR remove appliance

Inhibit system recovery: Google Cloud Backup and DR remove plan

Impact: Google Cloud Backup and DR reduce backup expiration

Impact: Google Cloud Backup and DR reduce backup frequency

Activer la journalisation d'audit Backup and DR

Journaux toujours activés

Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés et Event Threat Detection les analyse automatiquement.

Type de journal Menaces détectées Configuration obligatoire
Journaux d'accès aux données BigQueryAuditMetadata

Exfiltration : exfiltration de données BigQuery

Exfiltration : extraction de données BigQuery

Exfiltration : données BigQuery vers Google Drive

 Aucun
Journaux d'audit des activités d'administration Google Kubernetes Engine (GKE)

Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles

Élévation des privilèges : création de liaisons Kubernetes sensibles

Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié

Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal

Contournement des systèmes de défense : accès d'administrateur de cluster accordé aux sessions anonymes

Accès initial: ressource GKE anonyme créée à partir d'Internet (Preview)

Accès initial: ressource GKE modifiée anonymement à partir d'Internet (Preview)

Élévation des privilèges: cluster GKE attribué à des utilisateurs anonymes effectifs Accès (Preview)

Exécution: fichier Exec suspect ou associé à un pod système (Preview)

Élévation des privilèges : charge de travail créée avec une installation de chemin d'hôte sensible (Preview)

Élévation des privilèges: charge de travail avec partageProcessNamespace activé (Preview)

Élévation des privilèges : ClusterRole avec des verbes avec privilèges (Preview)

Élévation des privilèges : ClusterRoleBinding pour un rôle avec privilèges (Preview)

Defense Evasion : Requête de signature de certificat (CSR) supprimée manuellement (Preview)

Accès aux identifiants : échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes (Preview)

Accès aux identifiants : requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview)

Exécution : Pod Kubernetes créé avec de potentiels arguments de shell inversé (Preview)

Défense contre l'évasion : dissimulation potentielle de pod Kubernetes (bêta)

Élévation des privilèges: noms de conteneurs Kubernetes suspects Exploitation et Escape (Preview)

Impact : Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie (Preview)

Aucun
Journaux d'audit pour les activités d'administration IAM

Accès aux identifiants : rôle sensible attribué au groupe hybride

Élévation des privilèges: rôle sensible attribué à un compte de service inactif

Persistance : rôle d'impersonation attribué à un compte de service inactif

Persistance: autorisation anormale d'autorisations IAM (version preview)

Persistance: rôle sensible attribué à un compte non géré

 Aucun
Journaux des activités d'administration MySQL Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucun
Journaux des activités d'administration PostgreSQL Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucun
Journaux d'activité des administrateurs SQL Server Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucun
Journaux d'audit génériques pour les activités d'administration

Accès initial: action de compte de service inactif>

Accès initial: clé de compte de service inactif créée

Accès initial: autorisations excessives refusées

Accès initial: clé de compte de service divulguée utilisée

Persistance : ajout d'une clé SSH par l'administrateur Compute Engine

Persistance : ajout d'un script de démarrage par l'administrateur Compute Engine

Persistance: nouvelle méthode API

Persistance : Nouvelle géographie

Persistance : Nouvel agent utilisateur

Escalade des droits : usurpation d'identité anormale d'un compte de service pour les activités d'administration

Escalade des droits : délégation de compte de service multi-étapes anormale pour les activités d'administration

Escalade des droits : usurpation d'identité anormale d'un compte de service pour les activités d'administration

Déplacement latéral: disque de démarrage modifié associé à l'instance (Preview)

Aucun
Journaux d'audit VPC Service Controls Defense Evasion : Modifier VPC Service Controls (version Preview) Aucun

Étape suivante